一種Web服務器中的WebShell文件的檢測方法
【技術領域】
[0001]本發(fā)明涉及信息安全領域���,具體涉及一種開啟了 Web服務的服務器下的WebShell文件的檢測方法。
【背景技術】
[0002]隨著互聯(lián)網技術的高速發(fā)展�,互聯(lián)網信息安全已經成為了人們關注的焦點。WebShell是Web入侵的腳本攻擊工具��。對于WebShell的理解�����,“Web”指的是服務器開放Web服務的服務器��,“Shell”指的是取得對服務器某種程度上的操作權限。WebShell常常被稱為匿名用戶(入侵者)通過Web服務端口對Web服務器有某種程度上操作的權限����,由于其大多是以網頁腳本的形式出現(xiàn),也有人稱之為網站后門工具��。
[0003]WebShell是一種常見的網頁后門��,總體上��,WebShell有兩方面的作用����,一方面,WebShell常常被網站站長用于網站管理和服務器管理等,根據(jù)文件系統(tǒng)對象FSO權限的不同,WebShell的管理作用有在線編輯網頁腳本、上傳下載文件、查看數(shù)據(jù)庫、執(zhí)行任意程序命令等���。另一方面��,WebShell被入侵者利用來達到控制網站服務器的目的����。這些入侵網站服務器的網頁腳本常被稱為Web腳本木馬�����,目前比較流行的WebShell腳本木馬有ASP、JSP或PHP木馬,也有基于.NET的腳本木馬�����。
[0004]因此���,WebShell常常被攻擊者用來獲取Web服務器的操作權限��。攻擊者在進行網站入侵時���,通常會將WebShell文件與Web目錄下的長長網頁文件放置在一起���,然后通過瀏覽器訪問WebShell文件����,從而獲取命令執(zhí)行環(huán)境�����,最終達到控制網站服務器的目的����。當網站服務器被控制后���,就可以在其上任意查看數(shù)據(jù)庫�����、上傳下載文件以及執(zhí)行任意程序命令等����。WebShell與正常網頁具有相同的運行環(huán)境和服務端口��,它與遠程主機通過WWW(80)端口進行數(shù)據(jù)交換���,能夠很容易地避開殺毒軟件的檢測和穿透防火墻入侵網站����。
[0005]現(xiàn)有技術大多是通過靜態(tài)檢測的方法來檢測是否存在WebShell��。靜態(tài)檢測方法是通過將Web服務器端的腳本與惡意特征碼進行二進制匹配�,若匹配成功,則確定該腳本為WebShell。這種檢測方法不能快速、精準地檢測出是否存在WebShell,對服務器端WebShell的誤判率較高,對保障服務器的安全有一定影響。
【發(fā)明內容】
[0006]為了克服上述現(xiàn)有技術的不足,本發(fā)明提供一種Web服務器中的WebShell文件的檢測方法,通過基于引用的檢測過程、基于時間的檢測過程和基于特征值的檢測過程掃描待檢測文件�,分別計算得到待檢測文件的檢測權值,再計算得出最終權值�,從而得出檢測結果。本發(fā)明對文件掃描檢測的效率高��,能夠快速�、精確地檢測出服務器中的WebShell文件,從而保證服務器的安全��。
[0007]本發(fā)明的原理是:本發(fā)明提供的Web服務器中的WebShell文件的檢測方法����,包括基于引用的檢測過程、基于時間的檢測過程和基于特征值的檢測過程����;其中���,基于引用的檢測過程中,當沒有任何文件,而只是有鏈接指向某一文件時�,即只有鏈接,而沒有鏈接對應的實際文件存在在目錄中����,這種文件為目錄下的引用文件����;本方案認為這種引用文件為可疑WebShell�。而這種引用文件���,被引用的越多����,則越趨向于正常文件����?;趧?chuàng)建時間的檢測過程具體是:我們將所有文件,依據(jù)創(chuàng)建時間進行分組����,每組文件的創(chuàng)建時間接近(接近的程度是指小于某個設定的閾值)���,當某一組的文件個數(shù)小于某個數(shù)值,則認為其為可疑WebShell的可能性很大��?�;谔卣髦档臋z測過程具體是:本方案將用于與待檢測文件匹配的特征分為特征碼和可疑特征碼���,一待檢測文件與特征碼匹配成功則該文件很有可能是WebShell,相對應賦予比較高的特征檢測權值�,而由于與可疑特征碼匹配成功的內容很多普通文件可能也會帶有,所以待檢測文件與可疑特征碼匹配成功時��,相對應賦予的特征檢測權值會很小�����?��;谔卣髦禉z測方法的核心是特征提取�����,選取特征的好壞直接關系到檢測結果的優(yōu)劣��。因此����,在進行特征選取時,首先應對Web頁面本身進行充分考慮���,使得選取的特征能夠很好地表現(xiàn)出靜態(tài)頁面��。其次�,選取的特征還應該具有動態(tài)特點����,可以體現(xiàn)出頁面所進行的操作。如果提取網頁的全部特征進行處理���,則無法檢測出變形的WebShell���,也會因為特征過多而對效率產生影響。如果檢測特征過少�,則有可能產生誤報。WebShell特征庫的特征碼是從已有的惡意WebShell文件中提取的惡意代碼���。本發(fā)明通過將多個WebShell特征庫綜合在一起�����,同時��,也利用到國外的開源的WebShell庫���,綜合構建了一個強大的WebShell特征庫���,這個特征庫構成了基于特征值檢測WebShell的依據(jù)。本發(fā)明提供的WebShell文件的檢測方法包括低誤報模式����、低漏報模式和均衡模式���。其中����,低誤報模式是先做基于引用的和基于時間的檢測���,將兩者的檢測可疑文件集取交集�,再做基于特征值的檢測;低漏報模式同樣是先做基于引用的和基于時間的檢測���,將兩者的檢測可疑文件集取并集����,再特做基于特征值的檢測���;均衡模式是基于引用的檢測過程����、基于時間的檢測過程和基于特征值的檢測過程進行檢測�,再計算總權值。
[0008]本發(fā)明提供的技術方案如下:
[0009]一種Web服務器中的WebShell文件檢測方法�,包括基于引用的檢測過程、基于時間的檢測過程和基于特征值的檢測過程�;通過上述檢測過程掃描待檢測文件,分別計算得到待檢測文件的引用檢測權值����、時間檢測權值和特征檢測權值;再計算得出最終權值�,從而得出待檢測文件是正常文件、可疑WebShell文件還是確定的WebShell文件,包括如下步驟:
[0010]I)獲取指定目錄中的所有文件和文件創(chuàng)建信息�����;
[0011 ] 指定目錄為需要檢測的目錄����,一般需要檢測Web文件存在的目錄。開啟Web服務的服務器都會有默認的Web文件存放目錄��,默認情況下檢測這些目錄�����,用戶也可以自己選擇指定需要檢測的目錄��。獲取指定目錄中的文件包括引用的文件�;文件創(chuàng)建信息包括文件名稱和文件創(chuàng)建時間信息。
[0012]2)進行基于時間的檢測過程:根據(jù)文件創(chuàng)建時間���,將所有文件進行分組,賦予每一個文件的時間檢測權值�����,并記錄時間檢測可疑文件集;
[0013]根據(jù)文件創(chuàng)建時間進行分組��,根據(jù)文件創(chuàng)建時間和分組中的文件數(shù)目�����,給文件賦予不同的時間檢測權值:將文件創(chuàng)建時間相接近的(小于某個閾值的)文件放到一個分組中��,文件數(shù)較少的分組中的文件是WebShell文件的幾率比較大�����,即是WebShell可疑文件�。找出這些WebShell可疑文件,文件創(chuàng)建時間越晚WebShell文件的可能性越大�,根據(jù)文件創(chuàng)建時間的不同給文件添加不同的時間檢測權值,具體通過一個變量T記錄時間檢測權值��,并記錄時間檢測可疑文件集為Tt ;
[0014]文件創(chuàng)建時間越晚和分組中的文件數(shù)目越少的文件相應的權值越大:基于時間檢測是將文件按創(chuàng)建時間進行分組��,時間間隔在一定的閾值內的文件被分為一組���,組里的文件個數(shù)少的是WebShell的可能性比較大���,對于組內的文件再按照創(chuàng)建時間的先后進行賦權值����,越晚(離當前時間越近)創(chuàng)建的越可能是WebShell�,相應的權值越大,檢測結果是可疑的分組文件以及相應的權值����;
[0015]3)進行基于引用的檢測過程:獲取引用文件,根據(jù)引用次數(shù)賦予每一個文件的引用檢測權值����,并記錄引用檢測可疑文件集;
[0016]對于引用的文件�,獲取引用文件并檢測引用的次數(shù),引用文件是WebShell的可能性很大�����,次數(shù)越大的是WebShell的可能性越小����,選取不同的引用次數(shù)作為閾值,劃到不同閾值下的引用文件賦上不同的引用檢測權值�����,引用次數(shù)多的添加的引用檢測權值越小���,用變量Q來表示權值�����,并記錄引用檢測可疑文件集為Qq ;
[0017]4)進行基于特征的檢測過程:對需要做基于特征的檢測過程的文件��,針對每一個文件進行特征碼匹配����,若匹配成功則記錄并賦予該文件特征檢測權值��;若未匹配成功則對文件內容進行base64編碼�,然后再次進行特征碼匹配,匹配成功則記錄并賦予該文件特征檢測權值�,未匹配成功則對文件進行可疑特征碼匹配,匹配成功